LoginSignup
1
0
@ouerika(ou erika)

AWSセキュリティサービスまとめ(SAA-C03)

Last updated at Posted at 2024-08-03

AWSセキュリティサービスまとめ

SAA-C03向け

ファイアウォール系

image.png
サービス名 特徴
Shield
  • レイヤー3,4へのDDos攻撃からのマネージド保護
  • 無償のStandard、ELB, Route53, CloudFrontなどと統合できる有償のAdvancedがある
WAF
  • レイヤー7への攻撃(クロスサイトスクリプティングやSQLインジェクション)から保護
  • ALB, CloudFrontと統合し、HTTP/Sリクエストを監視するウェブアプリケーションファイアウォールである
  • ウェブACLで送信元の国を制限できる
Network Firewall
  • VPC全体を物理ファイアウォール保護するネットワークファイアウォールならびに不正侵入防御システム(IPS)のマネージドサービス
  • ネットワークトラフィックがインターネットゲートウェイに到達する前にフィルタできる
  • アウトバウンドサーバーメッセージブロック (SMB) リクエストをブロックできる
Firewall Manager 複数のAWSアカウント全体のファイアウォールのルールを一元的に構成および管理

検知系

image.png
サービス名 特徴
Macie
  • S3のオブジェクトに対し、機械学習とパターンマッチングを使用して機密データを検出する
  • 検出結果はEventBridgeとSecurity Hubに送信可能
Inspector
  • ソフトウェアの脆弱性や意図しないネットワークへの露出についてAWSワークロードを継続的にスキャンする脆弱性管理サービス
  • VPCの意図しないポートの公開やEC2の脆弱性などを自動的に評価
GuardDuty
  • 機械学習を使用して、ログ(CloudTrailイベント,VPCフローログ,DNSログ)からアカウントの通常動作を学習し、脅威を検出
  • 学習ベースライン(7-14日必要)
Security Hub
  • 複数のAWSアカウントを含め、すべてのセキュリティアラートを1箇所に集約
  • Cloud Security Posture Management (CSPM) (=クラウドセキュリティの状態管理)を実施
Detective
  • AWSサービス全体のイベントの根本原因を分析し特定する
  • 調査結果のトリアージ、脅威ハンティング
  • リソース(VPCやEC2)、AWSアカウント、IPアドレスを視覚化

監査系

image.png
サービス名 特徴
Audit Manager AWSの使用状況を継続的に監査してコンプライアンスに関する監査人に固有のレポートを自動作成
Artifact コンプライアンス関連情報、レポートを取得できる

Audit = 監査

キー系

image.png
サービス名 特徴
Key Management Service(KMS)
  • データの暗号化に使用される暗号化キーの作成と制御を容易にするマネージドサービス
  • EBS, S3, RDSなどと統合できる
  • キーのライフサイクル/アクセス許可を管理
CloudHSM 専用のハードウェアデバイスを用いて、暗号化キーの作成・管理する
Secrets Manager(SSM) KMSで暗号化した認証情報を管理する
System ManagerのParameter Store プレーンテキストやKMSで暗号化した値を管理する

SSMとParameter Storeの違い

Secrets Manager(SSM) Parameter Store
暗号化された値のみ(KMS) プレーンテキスト/暗号化された値(KMS)
キー/パラメータごとの料金 1 USD/月 Standard 無料
Advanced 0.05 USD/月
API使用料金 1万回ごとに 0.03 USD Standard 無料
Advanced 1万回ごとに 0.05 USD
自動ローテーション ×
パラメータ上限 なし 1万個まで
格納例 DB認証情報、APIキー、SSHキー、パスワード AMIのID、ライセンスコード

AWS KMSの記事も書きました

認証系

image.png
サービス名 特徴
ACM
(AWS Certificate Manager)
  • パブリックおよびプライベートなSSL/TLS証明書を作成・管理・デプロイできる
  • ELB, CloudFront, API Gatewayと統合可能
  • インポートしない場合は、キーペアの作成、証明書署名要求(CSR)、証明書の更新がすべて自動
Directory Service Active Directory(AD)のフルマネージドサービス
  • AWSマネージドMicrosoft AD
  • ADコネクタ(AWSとオンプレミスのADとの間にトンネルを作成)
  • Simple AD(Samba4ベース)
Cognito 外部ユーザーのアカウントログイン管理)
  • Web・モバイルアプリの認証、認可、ユーザー管理サービス
IAM Identity Center
(旧SSO)		 内部ユーザーのアカウントログイン管理)
  • AWS Organizationsで複数アカウントを運用している環境において、各ユーザを集約管理し、ログインを簡単に行えるようにするためのサービス
  • SAMLを使用したフェデレーションをサポート

Active Directory = Windows Serverのシステムリソース権限管理機能

フェデレーション = SSOを実現する技術。複数のサービスで認証情報を共有することで、ユーザ認証を1度にする仕組み

SAML(Security Assertion Markup Language)= セキュリティ認証情報を交換するためのXMLベースの標準フォーマット

1
0
0

Register as a new user and use Qiita more conveniently

  1. You get articles that match your needs
  2. You can efficiently read back useful information
  3. You can use dark theme
What you can do with signing up
Sign upLogin
1
0